• Proceedings of the Korea Information Processing Society Conference
• /
• 2017.11a
• /
• pp.275-278
• /
• 2017

과거의 가장 흔한 공격이었던 코드 삽입 공격은 방어 기법이 발전함에 따라 점점 어려워지고 있다. 공격자는 코드를 삽입하지 않고도 공격할 수 있는 방법을 찾기 시작하였고, 공격 대상에 존재하는 코드를 연결하여 원하는 동작을 실행하게 만드는 코드 재사용 공격을 하기 시작했다. 코드 재사용 공격을 막는 방어 기법 역시 제안되었지만, 다시 이를 우회하는 발전된 코드 재사용 공격들도 나오면서 공격과 방어를 거듭하고 있다. 본 논문에서는 코드 재사용 공격의 전신인 return into libc 부터 Data Oriented Programming (DOP)까지의 공격과 방어를 정리하고, 코드 재사용 공격이 발전되는 과정을 살펴보는 것을 목표로 한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.22 no.5
• /
• pp.1069-1078
• /
• 2012

It is known that memory has been frequently a target threatening the computer system's security while attacks on the system utilizing the memory's weakness are actually increasing. Accordingly, various memory protection mechanisms have been studied on OS while new attack techniques bypassing the protection systems have been developed. Especially, buffer overflow attacks have been developed as attacks of Return to Library or Return-Oriented Programing and recently, a technique bypassing the countermeasure against Return-Oriented Programming proposed. Therefore, this paper is intended to suggest a detection mechanism at binary level by analyzing the procedure and features of Jump-Oriented Programming. In addition, we have implemented the proposed detection mechanism and experimented it may efficiently detect Jump-Oriented Programming attack.

• Review of KIISC
• /
• v.28 no.3
• /
• pp.33-37
• /
• 2018

암호 화폐가 다양해지면서 암호 화폐를 채굴하는 방법 또한 다양한 방향으로 생겨났다. CyptoNote라는 프로토콜을 이용한 암호 화폐 중 하나인 모네로를 채굴할 때 메모리를 중점적으로 사용하도록 되어 있다. Coinhive는 광고 없이 수익을 내기위한 방법으로 웹브라우저를 이용한 모네로를 채굴하는 API를 만들었다. 하지만 본래의 목적과 다르게 API를 악의적으로 사용하여 웹브라우저 방문자의 동의 없이 채굴하는 공격인 크립토재킹이 증가하게 되었다. 이러한 공격을 막기 위해 브라우저 확장 어플리케이션이 등장하였으나, 공격자는 이를 우회하기 위해 자바스크립트 난독화를 사용하고 있다. 본 논문에서는, 크립토재킹에 대한 연구동향을 분석하고자 한다.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2018.07a
• /
• pp.110-111
• /
• 2018

모바일 게임 시장의 성장과 함께 보안 위협도 함께 증가하고 있는 것이 현재 상황이다. 게임 앱을 해킹하여 결제를 우회한 뒤 금전적 이익을 가로채거나, 원작 게임의 복제 앱을 만들어 부당이득을 취하는 일이 빈번하게 발생하고 있다. 본 논문에서는 모바일 게임 보안을 위하여 위협 인텔리전스와 같은 기술을 기반으로 모바일 게임에서 악용되고 있는 단순한 공격 유형들을 대상으로 사전에 수집 분석하여 지능형 공격을 차단할 수 있는 방안을 제시한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.22 no.3
• /
• pp.691-705
• /
• 2012

Buffer overflow vulnerability is the most representative one that an attack method and its countermeasure is frequently developed and changed. This vulnerability is still one of the most critical threat since it was firstly introduced in middle of 1990s. Shellcode is a machine code which can be used in buffer overflow attack. Attackers make the shellcode for their own purposes and insert it into target host's memory space, then manipulate EIP(Extended Instruction Pointer) to intercept control flow of the target host system. Therefore, a lot of research to defend have been studied, and attackers also have done many research to bypass security measures designed for the shellcode defense. In this paper, we investigate shellcode defense and attack techniques briefly and we propose our new methodology which can hide shellcode in the 24bit BMP image. With this proposed technique, we can easily hide any shellcode executable and we can bypass the current detection and prevention techniques.

• Review of KIISC
• /
• v.26 no.1
• /
• pp.92-98
• /
• 2016

IT기술이 발달함에 따라서 데이터는 대량화, 다양화 되었다. 그에 따라서 이를 침해하려는 다양한 공격기술들이 등장하고 있다. 특히, 지능형 타깃 지속 공격이라는 APT(Advanced Persistent Threat) 공격은 날로 발전하고 있다. APT공격 중에서도 특히 은닉형 악성코드를 이용한 공격들이 많이 등장하고 있다. 은닉형 악성코드는 사용자가 인식하지 못하도록 보안시스템을 우회하고, 중요 데이터의 수집 및 유출을 위하여 교묘하게 시스템에 숨어들어 악의적인 행위를 하는 형태의 악성코드를 말한다. 이러한 고도화된 악의적인 행위를 하는 악성코드를 탐지하고, 대응하기 위한 기술들은 아직까지 부족한 것이 현실이다. 본 논문에서 대표적인 은닉형 악성코드와 공격사례를 분석하여 이를 대응할 수 있는 방안을 고찰해본다. 또한 이를 통하여 고도화된 공격기술들에 대해 예방하고 대응하는 자료로 활용 가능하다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11b
• /
• pp.933-936
• /
• 2002

공격자는 시스템에 침입하기 위해 취약점을 수집하며 여러 공격방법을 통해 루트권한을 획득하게 된다. 루트권한을 획득한 공격자는 공격 시스템에 루트킷을 설치하여 침입에 대한 흔적을 숨기고 차후 침입을 위한 백도어를 남기게 되는데 최근 등장한 커널 기반의 루트킷은 시스템에 대한 침입 탐지를 어렵게 하고 있다. 이러한 공격에 대응하기 위해 침입탐지 및 차단을 위한 보안 시스템들이 많이 개발되어 왔지만 공격자들은 보안 시스템들을 우회하여 시스템에 침입하고 있다. 본 논문에서는 루트권한을 획득한 공격자의 불법행위를 막기 위해 시스템 보안 강화 LKM을 설계, 구현하며 중요 파일의 변조와 루트킷의 실치를 막고 공격자의 불법행위를 관리자에게 실시간으로 알릴 수 있는 방법을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2012.11a
• /
• pp.1064-1067
• /
• 2012

Return-Oriented Programming(ROP) 공격은 버퍼 오버플로우 공격, Return-into libc 공격의 계보를 이어 소프트웨어의 취약점을 공격하는 대표적인 기술 중 하나이다. 이 공격은 윈도우 운영체제 상에서의 Exploitation, iOS DEP 우회 및 코드 사이닝과 같은 기술을 무력화하기 위해 사용되고 있는 취약점 공격법이다. 그렇기 때문에 ROP 공격이 소개된 이후부터 현재까지 탐지법 및 방어법에 대한 논의가 활발하게 이루어지고 있다. 본 논문에서는 이러한 ROP 공격을 막기 위한 방법들을 특징에 따라 세 가지 종류로 분류하여 소개하고, 각각의 방법들의 장점과 단점을 비교 분석하여 향후 ROP 방어에 관한 연구에 기여를 하고자 한다.

• Journal of Internet Computing and Services
• /
• v.23 no.6
• /
• pp.1-13
• /
• 2022

As the information and communication environment develops, the environment of military facilities is also development remarkably. In proportion to this, cyber threats are also increasing, and in particular, APT attacks, which are difficult to prevent with existing signature-based cyber defense systems, are frequently targeting military and national infrastructure. It is important to identify attack groups for appropriate response, but it is very difficult to identify them due to the nature of cyber attacks conducted in secret using methods such as anti-forensics. In the past, after an attack was detected, a security expert had to perform high-level analysis for a long time based on the large amount of evidence collected to get a clue about the attack group. To solve this problem, in this paper, we proposed an automation technique that can classify an attack group within a short time after detection. In case of APT attacks, compared to general cyber attacks, the number of attacks is small, there is not much known data, and it is designed to bypass signature-based cyber defense techniques. As an attack model, we used MITRE ATT&CK® which modeled many parts of cyber attacks. We design an impact score considering the versatility of the attack techniques and proposed a group similarity score based on this. Experimental results show that the proposed method classified the attack group with a 72.62% probability based on Top-5 accuracy.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2012.11a
• /
• pp.1072-1075
• /
• 2012

인터넷 사용이 증가하고 기존의 오프라인 서비스들이 온라인으로 플랫폼을 이동하면서 개인정보나 결제정보 등을 탈취하기 위한 악성 사이트들이 등장하기 시작했다. 공격자들은 피싱 사이트를 만들어 사용자들의 정보 입력을 유도하고 이를 이용해 경제적 이익을 취득한다. 클릭재킹은 마우스 클릭을 하이재킹하여 사용자의 권한으로 특정 행동을 유도하는 공격 방법으로서, 온라인 계정을 삭제하거나 보인 기능 설정을 해제하는 등 여러 가지 문제점을 발생시킬 수 있다. 여러 가지 클릭재킹 방어 메커니즘이 제안되었으나 우회가 가능하여 잠재적인 문제점을 안고 있다. 따라서 본 논문에서는 현재 제안된 클릭재킹 방어기술들과 우회 기술들을 살펴보고 안전한 웹 브라우징 환경을 제공하는 브라우저를 제안한다.